@himorogy/enclave-env 0.2.0

package/README.md

@@ -0,0 +1,283 @@
+# @himorogy/enclave-env
+
+**LLM に本番用秘密情報を渡さない**ための env 管理 CLI ツールです。
+
+[dotenvx](https://dotenvx.com/) による暗号化と実行時ガードを組み合わせ、LLM が動く devcontainer から prod キーを構造的に隔離します。
+
+## このパッケージが提供するもの
+
+| 種別 | 内容 |
+|---|---|
+| **CLI** | `encrypt` / `decrypt` — env ファイルの暗号化・復号 |
+| **CLI** | `check` — 平文 `.env*` のコミットをブロック（pre-commit hook 用） |
+| **シェルスクリプト** | `scripts/init-check-dev.sh` — dev コンテナ起動時のセキュリティチェック（`initializeCommand` 用） |
+| **シェルスクリプト** | `scripts/init-check-prod.sh` — prod コンテナ起動時の相互排他チェック（`initializeCommand` 用） |
+| **テンプレート** | `templates/` — prod-shell スクリプト・devcontainer 構成の参照実装 |
+
+**このパッケージが担わないもの：** devcontainer.json の作成・管理、prod 環境の構築。これらはプロジェクト側の責務です。テンプレートはその参照実装として提供します。
+
+# セキュリティ思想
+
+## なぜ必要か
+
+Claude Code などの LLM は devcontainer 内から bind mount 経由でワークスペース全体にアクセスできます。`.env.production` または復号キーを平文で置いておくと、LLM が意図せず本番秘密情報を参照・出力するリスクがあります。
+prod用復号キーをワークスペース外に置くことで devcontainer への同期を防ぎ、 `.env.production` が平文の状態で devcontainer に同期されないように複数層でブロックします。
+
+`.env.production` に対する単一変数の追加・更新は下記の通り `dotenvx set` で対応できます。
+
+```sh
+dotenvx set DATABASE_URL "postgres://..." -f .env.production
+```
+
+- `.env.production` に含まれる public key だけで暗号化するため private key 不要
+- 平文ファイルが一切ディスクに書き出されない
+- dev コンテナ内でも実行可能（ただしコマンドヒストリーを削除しないと、LLMがセットした値を読み取ることが可能である点に留意）
+
+## prod キー隔離の弊害
+
+prod の private key を dev コンテナの外に置くと、dev コンテナ内から `.env.production` を復号できなくなります。
+これは意図した動作ですが、複数変数を一覧で確認しながら編集したい場合や、prod deploy・DB メンテナンスを伴う作業には対応できません。そうしたワークフローのために prod 環境を用意します。
+
+## 守るべき原則
+
+prod 環境の実現手段は問いませんが、以下の 2 つを守ることがこのツールの前提です：
+
+| 原則 | 目的 |
+|---|---|
+| **prod の private key は常にワークスペース外に置く** | bind mount 経由で LLM に渡らない |
+| **prod 操作は dev コンテナが停止した状態で行う** | 復号した平文を LLM から守る |
+
+---
+
+# prod 環境の用意
+
+## prod 環境の活用シナリオ
+
+### 全復号して操作する
+
+複数変数をまとめて確認・変更したい場合：
+
+```sh
+# 1. 復号
+enclave-env decrypt --env prod
+
+# 2. エディタで編集
+vim .env.production
+
+# 3. 再暗号化
+enclave-env encrypt --env prod
+```
+
+`protected: true` の環境では、手順 1 が dev コンテナ稼働中にブロックされます。
+
+### prod 環境の DB 整備や deploy
+
+prod deploy・DB マイグレーションなど、prod の認証情報を使った操作も prod 環境内で完結できます。
+
+```sh
+pnpm deploy
+pnpm db:migrate
+```
+
+## 運用上の注意点と 2 層の防御
+
+全復号フロー中は `.env.production` が平文でディスクに存在します。この間に dev コンテナが起動すると、bind mount 経由で LLM が平文にアクセスできてしまいます。
+
+enclave-env はこれを 2 つのレイヤーで防ぎます：
+
+| レイヤー | タイミング | 担う側 | 実装 |
+|---|---|---|---|
+| 起動時 | devcontainer 起動 | **プロジェクト** が `initializeCommand` に登録 | `scripts/init-check-dev.sh` / `scripts/init-check-prod.sh` |
+| 実行時 | `decrypt` 実行時 | **ライブラリ** が自動で実行 | `protected` フラグが付いた環境で dev コンテナの稼働を確認しブロック |
+
+実行時ガードは `DEVCONTAINER=true`（コンテナ内からの実行）の場合はスキップされます。起動時ガードで保証済みのためです。
+
+## 運用案
+
+prod キーが使える実行環境の用意方法です。
+
+### 選択肢 1：ホスト直実行
+
+最もシンプル。dev コンテナを停止した状態でホストから実行します。
+
+```sh
+# DOTENV_PRIVATE_KEY_PRODUCTION が使える状態で
+pnpm decrypt-env:prod
+```
+
+ホストに Node.js と `enclave-env` のインストールが必要です。
+
+### 選択肢 2：prod-shell スクリプト（推奨）
+
+Docker だけで prod 操作環境を再現するスクリプトを用意します。相互排他チェック・コンテナ起動・prod キー注入を 1 コマンドで行います。
+
+```sh
+sh scripts/prod-shell.sh
+```
+
+コンテナ内で `enclave-env`・`dotenvx`・各種デプロイツールが使えます。macOS / Linux 間の環境差が出ないため、CI/CD 安定前の prod deploy や DB メンテナンスも同じコンテナ内で完結します。
+
+テンプレート：[`templates/prod-shell.sh`](./templates/prod-shell.sh)
+
+### 選択肢 3：2 層 devcontainer
+
+VS Code の「Reopen in Container」で prod devcontainer に切り替える構成です。再現性が最も高く、チームでの運用に向いています。
+
+設計の核心は **Dockerfile を dev / prod で共有し、Claude Code のインストールを `dev/devcontainer.json` の `postCreateCommand` で行う**点です。同じ Dockerfile から prod 環境をビルドしても Claude Code が含まれない状態が構造的に保証されます。
+
+```
+.devcontainer/
+├── Dockerfile        # 共有ベース（Claude Code なし）
+├── dev/
+│   └── devcontainer.json   # postCreateCommand で Claude Code をインストール
+│                           # initializeCommand: init-check-dev.sh
+└── prod/
+    └── devcontainer.json   # Claude Code 関連の設定を含まない
+                            # initializeCommand: init-check-prod.sh
+```
+
+テンプレート：[`templates/devcontainer/`](./templates/devcontainer/)
+
+---
+
+# インストール
+
+```sh
+pnpm add -D @himorogy/enclave-env @dotenvx/dotenvx simple-git-hooks
+```
+
+> `@dotenvx/dotenvx` は peer dependency です。プロジェクトに直接インストールしてください。
+
+# セットアップ
+
+## 1. `enclave-env` を作成する
+
+プロジェクトルートに設定ファイルを置きます。シェルスクリプトから直接 `source` できる dotenv 形式です。
+
+```sh
+MODE=single
+
+ENV_LOCAL_FILE=.env
+ENV_PROD_FILE=.env.production
+ENV_PROD_PROTECTED=true
+
+DEV_CONTAINER_NAME=your-project-dev-devcontainer
+PROD_CONTAINER_NAME=your-project-prod-devcontainer   # optional: prod-shell や 2層 devcontainer で使用
+```
+
+## 2. `package.json` にスクリプトと git hook を追加する
+
+```json
+{
+  "scripts": {
+    "decrypt-env":      "enclave-env decrypt --env local",
+    "encrypt-env":      "enclave-env encrypt --env local",
+    "decrypt-env:prod": "enclave-env decrypt --env prod",
+    "encrypt-env:prod": "enclave-env encrypt --env prod",
+    "prepare":          "simple-git-hooks"
+  },
+  "simple-git-hooks": {
+    "pre-commit": "sh node_modules/@himorogy/enclave-env/scripts/check.sh"
+  }
+}
+```
+
+`pnpm install` 実行時に `prepare` が走り、フックが自動登録されます。
+
+## 3. `.env` を dotenvx で暗号化する
+
+```sh
+pnpm encrypt-env
+```
+
+生成された `DOTENV_PUBLIC_KEY` はリポジトリにコミットします。`.env.keys` はコミットしないでください。
+
+# CLI リファレンス
+
+```
+enclave-env encrypt --env <environment>   # 指定環境の env ファイルを in-place 暗号化
+enclave-env decrypt --env <environment>   # 指定環境の env ファイルを in-place 復号
+enclave-env check                         # ステージ済み .env* ファイルの暗号化確認（git pre-commit hook 用）
+```
+
+`<environment>` は `enclave-env` の `ENV_<NAME>_FILE` キーの `<NAME>` を小文字にしたものと一致させてください。
+
+devcontainer の `initializeCommand` 用チェックはシェルスクリプトで提供しています：
+
+```
+scripts/init-check-dev.sh    # dev コンテナ起動時（enclave-env を source して実行）
+scripts/init-check-prod.sh   # prod コンテナ起動時（enclave-env を source して実行）
+```
+
+# `enclave-env` 設定リファレンス
+
+| キー | 説明 |
+|---|---|
+| `MODE` | `single` のみ実装済み |
+| `ENV_<NAME>_FILE` | 環境 `<name>` の対象 env ファイルパス |
+| `ENV_<NAME>_PROTECTED` | `true` の場合、`decrypt` 前に dev コンテナ稼働チェックを実行 |
+| `DEV_CONTAINER_NAME` | `protected` チェックおよび `init-check-prod.sh` の対象コンテナ名 |
+| `PROD_CONTAINER_NAME` | 設定すると 2 層 devcontainer モードで動作（`init-check-dev.sh` が起動チェックを実施） |
+
+`<NAME>` は大文字・数字・アンダースコアで構成し、`--env` オプションでは小文字で参照します。例：`ENV_PROD_FILE` → `--env prod`
+
+# キー管理の推奨構成
+
+| 環境 | キーの保管場所 |
+|---|---|
+| local / dev | `.devcontainer/dev/.env.container`（gitignore 対象） |
+| prod | `~/.config/<your-project>/.env.container`（ワークスペース外） |
+
+prod キーをワークスペース外に置くことで、bind mount 経由で LLM に渡るリスクをなくします。
+
+# Git 管理ポリシー（推奨）
+
+| ファイル | Git 管理 |
+|---|---|
+| `.env`（local、暗号化済） | プロジェクトによる（未暗号化なら ❌ 推奨） |
+| `.env.production`（暗号化済） | ✅ |
+| `.env.keys*` | ❌ 必ず gitignore |
+| `enclave-env` | ✅ |
+
+# 機能一覧とテスト状況
+
+| 機能 | 種別 | テスト |
+|---|---|---|
+| `enclave-env` ファイルの解析（`loadConfig`） | TypeScript | ✅ |
+| env ファイルパスの解決（`resolveEnvFile`） | TypeScript | ✅ |
+| ステージファイルの暗号化確認（`scripts/check.sh`） | シェル | ✅ |
+| dev コンテナ起動時セキュリティチェック（`scripts/init-check-dev.sh`） | シェル | ✅ |
+| prod コンテナ起動時相互排他チェック（`scripts/init-check-prod.sh`） | シェル | — |
+| env ファイルの暗号化（`encrypt`） | TypeScript | — (dotenvx 依存) |
+| env ファイルの復号（`decrypt`） | TypeScript | — (dotenvx 依存) |
+
+```sh
+pnpm test       # 全テスト
+pnpm test:ts    # TypeScript のみ
+pnpm test:sh    # シェルスクリプトのみ
+```
+
+# 開発・リリース
+
+## CI/CD 構成
+
+| ワークフロー | トリガー | 内容 |
+|---|---|---|
+| **CI** | PR・push | lint + test |
+| **Registry Monitor** | 定期実行 | npm registry 監視 → Slack 通知 |
+
+## リリース手順
+
+```sh
+# 1. 変更を記述（対話形式で bump type と説明を入力）
+pnpm changeset add
+git commit -m "chore: add changeset"
+git push
+
+# 2. バージョン更新・git tag・publish を一括実行
+pnpm release
+```
+
+# ライセンス
+
+MIT

package/dist/cli.js

@@ -0,0 +1,238 @@
+#!/usr/bin/env node
+
+// src/cli.ts
+import { Command } from "commander";
+
+// package.json
+var package_default = {
+  name: "@himorogy/enclave-env",
+  version: "0.2.0",
+  description: "Encrypted env management that keeps secrets out of LLM reach",
+  packageManager: "pnpm@10.33.2",
+  type: "module",
+  bin: {
+    "enclave-env": "dist/cli.js"
+  },
+  scripts: {
+    build: "tsup",
+    prepare: "pnpm run build",
+    typecheck: "tsc --noEmit",
+    format: "biome check --write .",
+    lint: "biome ci .",
+    test: "pnpm test:ts && pnpm test:sh",
+    "test:ts": "tsc -p tsconfig.test.json && node --test dist/test/config.test.js",
+    "test:sh": "sh tests/check.test.sh && sh tests/init-check-dev.test.sh",
+    release: "sh release.sh"
+  },
+  dependencies: {
+    "@dotenvx/dotenvx": "^1.63.0",
+    commander: "^14.0.3"
+  },
+  devDependencies: {
+    "@biomejs/biome": "^2.4.13",
+    "@changesets/cli": "^2.31.0",
+    "@types/node": "^25.6.0",
+    tsup: "^8.5.1",
+    typescript: "^6.0.3"
+  },
+  files: [
+    "dist",
+    "scripts",
+    "templates",
+    "README.md"
+  ],
+  publishConfig: {
+    access: "public"
+  }
+};
+
+// src/commands/check.ts
+import { execSync } from "child_process";
+import { existsSync, readFileSync } from "fs";
+function check() {
+  let stagedOutput;
+  try {
+    stagedOutput = execSync("git diff --cached --name-only", {
+      encoding: "utf-8"
+    });
+  } catch {
+    return;
+  }
+  const staged = stagedOutput.split("\n").filter((f) => f && /(^|\/)\.env/.test(f));
+  if (staged.length === 0) {
+    process.exit(0);
+  }
+  let failed = false;
+  for (const file of staged) {
+    if (file.includes(".env.keys")) {
+      console.error(
+        `\u274C pre-commit: ERROR: ${file} contains private keys and must not be committed`
+      );
+      failed = true;
+      continue;
+    }
+    if (existsSync(file) && !readFileSync(file, "utf-8").includes("DOTENV_PUBLIC_KEY")) {
+      console.error(`\u274C pre-commit: ERROR: ${file} is not encrypted`);
+      console.error(
+        "   Run 'enclave-env encrypt --env <environment>' before committing"
+      );
+      failed = true;
+    }
+  }
+  if (failed) {
+    process.exit(1);
+  }
+  console.log("\u2705 pre-commit: all staged .env* files are encrypted");
+}
+
+// src/commands/decrypt.ts
+import { execSync as execSync3 } from "child_process";
+
+// src/config.ts
+import { readFileSync as readFileSync2 } from "fs";
+import { resolve } from "path";
+function loadConfig(cwd = process.cwd()) {
+  const configPath = resolve(cwd, "enclave-env");
+  let raw;
+  try {
+    raw = readFileSync2(configPath, "utf-8");
+  } catch {
+    throw new Error(
+      "enclave-env not found. Run from project root or create enclave-env."
+    );
+  }
+  const vars = {};
+  for (const line of raw.split("\n")) {
+    const trimmed = line.trim();
+    if (!trimmed || trimmed.startsWith("#")) continue;
+    const eqIdx = trimmed.indexOf("=");
+    if (eqIdx < 0) continue;
+    vars[trimmed.slice(0, eqIdx).trim()] = trimmed.slice(eqIdx + 1).trim();
+  }
+  const mode = vars.MODE ?? "single";
+  const environments = {};
+  for (const [key, value] of Object.entries(vars)) {
+    const fileMatch = key.match(/^ENV_([A-Z0-9]+)_FILE$/);
+    if (fileMatch) {
+      const name = fileMatch[1].toLowerCase();
+      environments[name] ??= {};
+      environments[name].file = value;
+    }
+    const protectedMatch = key.match(/^ENV_([A-Z0-9]+)_PROTECTED$/);
+    if (protectedMatch) {
+      const name = protectedMatch[1].toLowerCase();
+      environments[name] ??= {};
+      environments[name].protected = value === "true";
+    }
+  }
+  const security = {};
+  if (vars.DEV_CONTAINER_NAME)
+    security.devContainerName = vars.DEV_CONTAINER_NAME;
+  if (vars.PROD_CONTAINER_NAME)
+    security.prodContainerName = vars.PROD_CONTAINER_NAME;
+  return {
+    mode,
+    environments,
+    ...Object.keys(security).length > 0 ? { security } : {}
+  };
+}
+function resolveEnvFile(config, env, cwd = process.cwd()) {
+  const envConfig = config.environments[env];
+  if (!envConfig) {
+    const available = Object.keys(config.environments).join(", ");
+    throw new Error(
+      `Environment "${env}" not found in enclave-env. Available: ${available}`
+    );
+  }
+  if (!envConfig.file) {
+    throw new Error(
+      `Environment "${env}" has no FILE setting. Check enclave-env.`
+    );
+  }
+  return resolve(cwd, envConfig.file);
+}
+
+// src/security.ts
+import { execSync as execSync2 } from "child_process";
+function checkContainerNotRunning(containerName, errorMessage) {
+  try {
+    const result = execSync2(
+      `docker ps --filter "name=${containerName}" --format "{{.Names}}"`,
+      { encoding: "utf-8" }
+    ).trim();
+    if (result) {
+      console.error(`\u274C ERROR: ${errorMessage}`);
+      process.exit(1);
+    }
+  } catch {
+  }
+}
+function checkDevContainerNotRunning(containerName) {
+  if (process.env.DEVCONTAINER) return;
+  checkContainerNotRunning(
+    containerName,
+    `Dev container is running (${containerName}). Stop it before running prod operations to prevent secrets from syncing via bind mount.`
+  );
+}
+
+// src/commands/decrypt.ts
+function decryptEnv(config, env) {
+  if (config.mode !== "single") {
+    throw new Error(`Mode "${config.mode}" is not yet supported`);
+  }
+  const envConfig = config.environments[env];
+  if (envConfig?.protected && config.security?.devContainerName) {
+    checkDevContainerNotRunning(config.security.devContainerName);
+  }
+  const filePath = resolveEnvFile(config, env);
+  execSync3(`dotenvx decrypt -f "${filePath}"`, { stdio: "inherit" });
+}
+
+// src/commands/encrypt.ts
+import { execSync as execSync4 } from "child_process";
+function encryptEnv(config, env) {
+  if (config.mode !== "single") {
+    throw new Error(`Mode "${config.mode}" is not yet supported`);
+  }
+  const filePath = resolveEnvFile(config, env);
+  execSync4(`dotenvx encrypt -f "${filePath}"`, { stdio: "inherit" });
+}
+
+// src/cli.ts
+var program = new Command();
+program.name("enclave-env").description("Encrypted env management that keeps secrets out of LLM reach").version(package_default.version);
+program.command("encrypt").description("Encrypt an env file in-place").requiredOption(
+  "--env <environment>",
+  "Target environment (e.g. local, prod)"
+).action((options) => {
+  try {
+    const config = loadConfig();
+    encryptEnv(config, options.env);
+  } catch (err) {
+    console.error(`\u274C ${err instanceof Error ? err.message : err}`);
+    process.exit(1);
+  }
+});
+program.command("decrypt").description("Decrypt an env file in-place").requiredOption(
+  "--env <environment>",
+  "Target environment (e.g. local, prod)"
+).action((options) => {
+  try {
+    const config = loadConfig();
+    decryptEnv(config, options.env);
+  } catch (err) {
+    console.error(`\u274C ${err instanceof Error ? err.message : err}`);
+    process.exit(1);
+  }
+});
+program.command("check").description(
+  "Check staged .env files are encrypted (use as git pre-commit hook)"
+).action(() => {
+  try {
+    check();
+  } catch (err) {
+    console.error(`\u274C ${err instanceof Error ? err.message : err}`);
+    process.exit(1);
+  }
+});
+program.parse();

package/package.json

@@ -0,0 +1,41 @@
+{
+	"name": "@himorogy/enclave-env",
+	"version": "0.2.0",
+	"description": "Encrypted env management that keeps secrets out of LLM reach",
+	"packageManager": "pnpm@10.33.2",
+	"type": "module",
+	"bin": {
+		"enclave-env": "dist/cli.js"
+	},
+	"scripts": {
+		"build": "tsup",
+		"prepare": "pnpm run build",
+		"typecheck": "tsc --noEmit",
+		"format": "biome check --write .",
+		"lint": "biome ci .",
+		"test": "pnpm test:ts && pnpm test:sh",
+		"test:ts": "tsc -p tsconfig.test.json && node --test dist/test/config.test.js",
+		"test:sh": "sh tests/check.test.sh && sh tests/init-check-dev.test.sh",
+		"release": "sh release.sh"
+	},
+	"dependencies": {
+		"@dotenvx/dotenvx": "^1.63.0",
+		"commander": "^14.0.3"
+	},
+	"devDependencies": {
+		"@biomejs/biome": "^2.4.13",
+		"@changesets/cli": "^2.31.0",
+		"@types/node": "^25.6.0",
+		"tsup": "^8.5.1",
+		"typescript": "^6.0.3"
+	},
+	"files": [
+		"dist",
+		"scripts",
+		"templates",
+		"README.md"
+	],
+	"publishConfig": {
+		"access": "public"
+	}
+}

package/scripts/check.sh

@@ -0,0 +1,26 @@
+#!/bin/sh
+#
+# Pre-commit hook: checks that staged .env* and secret.env.* files contain only encrypted values.
+
+for file in $(git diff --cached --name-only | grep -E '(^|/)\.env|(^|/)secret\.env\.'); do
+  if [ ! -f "$file" ]; then
+    continue
+  fi
+
+  case "$file" in
+    *.env.container.example) continue ;;
+  esac
+
+  while IFS= read -r line; do
+    case "$line" in
+      ''|'#'*|DOTENV_PUBLIC_KEY*) continue ;;
+    esac
+
+    if ! echo "$line" | grep -qE '^[A-Z0-9_]+=encrypted:'; then
+      echo "❌ Error: $file contains unencrypted value:"
+      echo "  $line"
+      echo "  Run: pnpm dotenvx encrypt"
+      exit 1
+    fi
+  done < "$file"
+done

package/scripts/init-check-dev.sh

@@ -0,0 +1,76 @@
+#!/bin/sh
+# dev コンテナ起動時のセキュリティチェック（devcontainer.json の initializeCommand 用）
+# ホスト側で実行されるため、exit 1 でコンテナ起動を中断できる。
+
+if [ ! -f "./enclave-env" ]; then
+  echo "⚠️  enclave-env not found, skipping checks"
+  exit 0
+fi
+
+# shellcheck disable=SC1091
+. ./enclave-env
+
+FAIL_FILE=$(mktemp)
+
+# Check 0: prod コンテナが稼働していないか確認（2層 devcontainer モード時）
+if [ -n "$PROD_CONTAINER_NAME" ]; then
+  if docker ps --filter "name=$PROD_CONTAINER_NAME" --format "{{.Names}}" 2>/dev/null | grep -q .; then
+    echo "❌ ERROR: Prod container is already running ($PROD_CONTAINER_NAME)."
+    echo "   Stop it before starting the dev container."
+    exit 1
+  fi
+fi
+
+# Check 1: .env.production / secret.env.* must contain only encrypted values
+find . -type f \
+  -not -path "*/node_modules/*" \
+  -not -path "*/.git/*" \
+  \( -name ".env.production" -o -name "secret.env.*" \) \
+| while read -r FILE; do
+  FILE_HEADER_SHOWN=0
+  while IFS= read -r line; do
+    case "$line" in
+      ''|'#'*|DOTENV_PUBLIC_KEY*) continue ;;
+    esac
+    if ! echo "$line" | grep -qE '^[A-Z0-9_]+=encrypted:'; then
+      if [ "$FILE_HEADER_SHOWN" = "0" ]; then
+        echo "❌ ERROR: $FILE contains unencrypted values:"
+        FILE_HEADER_SHOWN=1
+      fi
+      echo "   $line"
+      echo "FAILED" > "$FAIL_FILE"
+    fi
+  done < "$FILE"
+done
+
+# Check 2: .env.container must not contain DOTENV_PRIVATE_KEY_PRODUCTION
+find . -type f \
+  -not -path "*/node_modules/*" \
+  -not -path "*/.git/*" \
+  -name ".env.container" \
+| while read -r FILE; do
+  if grep -q "DOTENV_PRIVATE_KEY_PRODUCTION" "$FILE" 2>/dev/null; then
+    echo "❌ ERROR: DOTENV_PRIVATE_KEY_PRODUCTION found in $FILE"
+    echo "   Production keys must be placed outside the workspace."
+    echo "FAILED" > "$FAIL_FILE"
+  fi
+done
+
+# Check 3: .env.keys* must not exist inside the workspace
+find . -type f \
+  -not -path "*/node_modules/*" \
+  -not -path "*/.git/*" \
+  -name ".env.keys*" \
+| while read -r FILE; do
+  echo "❌ ERROR: Key file found inside the workspace: $FILE"
+  echo "   Move it outside the workspace (e.g. ~/.config/<your-project>/)."
+  echo "FAILED" > "$FAIL_FILE"
+done
+
+if [ -s "$FAIL_FILE" ]; then
+  rm -f "$FAIL_FILE"
+  exit 1
+fi
+rm -f "$FAIL_FILE"
+
+echo "✅ enclave-env - security checks passed"

package/scripts/init-check-prod.sh

@@ -0,0 +1,21 @@
+#!/bin/sh
+# prod コンテナ起動時の相互排他チェック（devcontainer.json の initializeCommand 用）
+# ホスト側で実行されるため、exit 1 でコンテナ起動を中断できる。
+
+if [ ! -f "./enclave-env" ]; then
+  echo "⚠️  enclave-env not found, skipping check"
+  exit 0
+fi
+
+# shellcheck disable=SC1091
+. ./enclave-env
+
+if [ -n "$DEV_CONTAINER_NAME" ]; then
+  if docker ps --filter "name=$DEV_CONTAINER_NAME" --format "{{.Names}}" 2>/dev/null | grep -q .; then
+    echo "❌ ERROR: Dev container is already running ($DEV_CONTAINER_NAME)."
+    echo "   Stop it before starting the prod container."
+    exit 1
+  fi
+fi
+
+echo "✅ enclave-env - mutual exclusion check passed"

package/templates/devcontainer/Dockerfile

@@ -0,0 +1,62 @@
+FROM node:24
+
+ARG TZ
+ENV TZ="$TZ"
+
+RUN apt-get update && apt-get install -y --no-install-recommends \
+  less \
+  git \
+  procps \
+  sudo \
+  fzf \
+  zsh \
+  man-db \
+  unzip \
+  gnupg2 \
+  gh \
+  iptables \
+  ipset \
+  iproute2 \
+  dnsutils \
+  jq \
+  nano \
+  vim \
+  && apt-get clean && rm -rf /var/lib/apt/lists/*
+
+ENV PNPM_HOME="/usr/local/share/pnpm"
+ENV PATH="${PNPM_HOME}:${PATH}"
+RUN mkdir -p "${PNPM_HOME}" && \
+  chown -R node:node /usr/local/share
+
+ARG USERNAME=node
+
+RUN SNIPPET="export PROMPT_COMMAND='history -a' && export HISTFILE=/commandhistory/.bash_history" \
+  && mkdir /commandhistory \
+  && touch /commandhistory/.bash_history \
+  && chown -R $USERNAME /commandhistory
+
+ENV DEVCONTAINER=true
+
+RUN mkdir -p /workspace /home/node/.claude && \
+  chown -R node:node /workspace /home/node/.claude
+
+WORKDIR /workspace
+
+USER node
+
+ENV NPM_CONFIG_PREFIX=/usr/local/share/npm-global
+ENV PATH=$PATH:/usr/local/share/npm-global/bin
+RUN npm install -g pnpm
+
+ENV SHELL=/bin/zsh
+ENV EDITOR=vim
+ENV VISUAL=vim
+
+ARG ZSH_IN_DOCKER_VERSION=1.2.0
+RUN sh -c "$(wget -O- https://github.com/deluan/zsh-in-docker/releases/download/v${ZSH_IN_DOCKER_VERSION}/zsh-in-docker.sh)" -- \
+  -p git \
+  -p fzf \
+  -a "source /usr/share/doc/fzf/examples/key-bindings.zsh" \
+  -a "source /usr/share/doc/fzf/examples/completion.zsh" \
+  -a "export PROMPT_COMMAND='history -a' && export HISTFILE=/commandhistory/.bash_history" \
+  -x

package/templates/devcontainer/dev/devcontainer.json

@@ -0,0 +1,37 @@
+{
+	"name": "<your-project>",
+	"build": {
+		"dockerfile": "../Dockerfile",
+		"args": {
+			"TZ": "${localEnv:TZ}"
+		}
+	},
+	"runArgs": [
+		"--name=<your-project>-dev-devcontainer",
+		"--env-file",
+		"${localWorkspaceFolder}/.devcontainer/dev/.env.container"
+	],
+	"customizations": {
+		"vscode": {
+			"extensions": ["anthropic.claude-code", "biomejs.biome"],
+			"settings": {
+				"terminal.integrated.defaultProfile.linux": "zsh"
+			}
+		}
+	},
+	"remoteUser": "node",
+	"mounts": [
+		// Persist shell history across rebuilds
+		"source=<your-project>-bashhistory-${devcontainerId},target=/commandhistory,type=volume",
+		// Persist Claude Code config and auth across rebuilds
+		"source=<your-project>-claude-config-${devcontainerId},target=/home/node/.claude,type=volume"
+	],
+	"containerEnv": {
+		"NODE_OPTIONS": "--max-old-space-size=2048"
+	},
+	"workspaceMount": "source=${localWorkspaceFolder},target=/workspace,type=bind,consistency=delegated",
+	"workspaceFolder": "/workspace",
+	"initializeCommand": "sh node_modules/@himorogy/enclave-env/scripts/init-check-dev.sh",
+	// Install Claude Code here (not in Dockerfile) to exclude it from the prod environment
+	"postCreateCommand": "curl -fsSL https://claude.ai/install.sh | bash"
+}

package/templates/devcontainer/prod/devcontainer.json

@@ -0,0 +1,22 @@
+{
+	"name": "<your-project> prod",
+	"build": {
+		"dockerfile": "../Dockerfile",
+		"args": {
+			"TZ": "${localEnv:TZ}"
+		}
+	},
+	"runArgs": [
+		"--name=<your-project>-prod-devcontainer",
+		"--env-file",
+		// Prod key is stored outside the workspace to prevent LLM access via bind mount
+		"${localEnv:HOME}/.config/<your-project>/.env.container"
+	],
+	"remoteUser": "node",
+	"containerEnv": {
+		"NODE_OPTIONS": "--max-old-space-size=2048"
+	},
+	"workspaceMount": "source=${localWorkspaceFolder},target=/workspace,type=bind,consistency=delegated",
+	"workspaceFolder": "/workspace",
+	"initializeCommand": "sh node_modules/@himorogy/enclave-env/scripts/init-check-prod.sh"
+}

package/templates/prod-shell.sh

@@ -0,0 +1,40 @@
+#!/bin/sh
+# scripts/prod-shell.sh
+#
+# Starts a prod shell with prod keys loaded from outside the workspace.
+# Reads container names from enclave-env and performs mutual exclusion check.
+#
+# Setup:
+#   1. Set DEV_CONTAINER_NAME (and optionally PROD_CONTAINER_NAME) in enclave-env
+#   2. Place prod keys at PROD_KEY_FILE (gitignored, outside workspace)
+#   3. Copy this file to scripts/prod-shell.sh in your project
+
+if [ ! -f "./enclave-env" ]; then
+  echo "❌ enclave-env not found. Run from project root."
+  exit 1
+fi
+
+# shellcheck disable=SC1091
+. ./enclave-env
+
+PROD_KEY_FILE="${HOME}/.config/<your-project>/.env.container"
+IMAGE="<your-project>-devcontainer"
+
+if docker ps --filter "name=${DEV_CONTAINER_NAME}" --format "{{.Names}}" | grep -q .; then
+  echo "❌ Dev container '${DEV_CONTAINER_NAME}' is running."
+  echo "   Stop it first before entering the prod shell."
+  exit 1
+fi
+
+if [ ! -f "${PROD_KEY_FILE}" ]; then
+  echo "❌ Prod key file not found: ${PROD_KEY_FILE}"
+  exit 1
+fi
+
+docker run --rm -it \
+  --name "${PROD_CONTAINER_NAME:-<your-project>-prod-shell}" \
+  -v "$(pwd):/workspace" \
+  -w /workspace \
+  --env-file "${PROD_KEY_FILE}" \
+  "${IMAGE}" \
+  bash